Analyse d’impact : pour quel traitements ?

Analyse d’impact : pour quel traitements ?

Pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, la réalisation d’une analyse d’impact ou PIA (Privacy Impact assessment) est désormais obligatoire.

Le RGPD donne des cas spécifiques pour lesquels une telle analyse est obligatoire et la CNIL, afin d’en faciliter la lecture  a fourni des critères pour déterminer si un PIA est nécesssaire :

  • Evaluation/scoring (y compris profilage)
  • Décision automatique avec effet légal ou similaire
  • Surveillance systématique
  • Données sensibles ou hautement personnelles (santé, géolocalisation, etc.)
  • Collecte à large échelle
  • Croisement de données
  • Personnes vulnérables
  • Usage innovant
  • Exclusion du bénéfice d’un droit/contrat

 

Doit-on se limiter à ces critères ?

Il est indispensable de ne pas se limiter à ces critères. Prenons le cas du critère « évaluation/scoring ». Dans la plupart des cas, nos clients ont tout de suite pensé à tout ce qui va toucher au profilage de client, au profilage de salarié pour certains postes clés, mais beaucoup avaient d’emblée exclus l’évaluation des compétences, voire la détection des hauts potentiels.

Pourtant, cela reste du profilage et dans la liste de traitements pour lesquels un PIA est obligatoire. La détection des hauts potentiels fait partie des exemples cités pour les « Traitements établissant des profils de personnes physiques à des fins de gestion des ressources humaines ».

Autre exemple, les applications qui permettent de renforcer les liens au sein de l’entreprise : trouver des personnes avec qui déjeuner, avec qui partager sa pause café, etc. Dans certaines entreprises ces applications sont très bien perçues. Dans d’autres, les utilisateurs de telles applications sont catalogués « asociaux ». L’impact sur la carrière de l’individu est évident; et pourtant, une telle application ne rentre dans aucun des critères listés ci-dessus.

 

Que faire ?

Personnalisez les critères. Adaptez-les au contexte de votre entreprise. Il est important pour chaque entreprise de personnaliser les critères en prenant en compte son contexte (secteur d’activité, culture d’entreprise, etc.).

Documenter vos décisions : D’une manière générale, nous recommandons de systématiquement documenter, pour tous les traitements, les raisons qui ont conduits à déterminer qu’un PIA n’est pas nécessaire. Cela montre que l’on s’est posé la question, cela permet d’avoir des arguments pour justifier son choix en cas de désaccord : il faut faire une pré-analyse.

 

Nous reviendrons plus en détails sur cette pré-analyse d’impact prochainement.

 

Quelques liens :

 

 

2019-03-16T11:59:29+02:00